새로운 피싱 공격이 PowerPoint 파일을 악용하여 악성 코드를 퍼뜨립니다.

위협 행위자는 표적 시스템에 침투하여 악성 코드를 퍼뜨리는 또 다른 방법을 고안했습니다. 보안 연구원들이 추적하는 새로운 캠페인에서 악의적인 행위자들은 잘 알려지지 않은 PowerPoint 파일 형식을 사용하여 맬웨어를 전파하고 피해자의 시스템을 장악하고 있습니다.

맬웨어를 래핑하는 데 사용되는 덜 알려진 파일 형식

이 공격은 보안 회사인 Check Point Software에 속한 회사에서 추적하고 있습니다. 이 새로운 캠페인에서 위협 행위자는 Microsoft PowerPoint에서 작동하고 여는 확장 그룹에 속하지만 자주 사용되지 않는 파일 형식을 사용합니다.

공격은 PowerPoint 프레젠테이션용 추가 기능 파일 형식인 .ppam 파일을 사용합니다. 파일 형식에는 다른 PowerPoint 파일 형식에는 없는 추가 명령과 매크로가 포함되어 있습니다.

연구원들은 2022년 1월부터 PowerPoint 파일 공격을 추적해 왔습니다. 악의적인 사용자는 .ppam 파일을 사용하여 시스템을 인수하는 데 사용되는 실행 파일을 래핑하고 있습니다. 파일은 가짜 구매 주문과 관련된 텍스트와 피해자에게 송장으로 응답하라는 요청이 포함된 피싱 이메일을 사용하여 유포되고 있습니다.

.ppam 파일 안에 래핑된 악성 실행 파일은 Windows 레지스트리 값을 기록하고 피해자 시스템의 메모리를 모니터링하는 동안 지속성을 달성하는 기능이 있습니다. 잘 알려지지 않은 파일 형식은 .ppam 파일에 포함된 페이로드가 대상 시스템의 보안 조치를 피할 수 있음을 의미합니다.

.PPAM 파일이 랜섬웨어를 전달할 수 있음

보안 연구원들은 덜 자주 사용되는 파일 형식이 초래하는 위험에 대해 설명했습니다. 일반적으로 자동화된 보안 조치로 검사되지 않는 파일 내부에 악성 페이로드를 래핑함으로써 악의적인 행위자는 랜섬웨어 를 포함하여 원하는 모든 실행 가능한 페이로드를 전달할 수 있습니다. 사실, 현재 캠페인을 추적하는 연구원들은 2021년 10월 랜섬웨어 공격에 .ppam 파일이 사용되었다고 언급했습니다.

샌드박스 조치를 개선하고 대상 시스템에서 다운로드를 열기 전에 샌드박스를 통해 모든 다운로드를 필터링하는 것 외에, 연구자들은 회사 직원이 처음으로 익숙하지 않은 파일 확장자를 발견할 때 항상 IT 전문가에게 연락할 것을 권장합니다.